次の方法で共有

クレームベース認証の構成

  • [アーティクル]

 

公開日: 2017年1月

対象: Dynamics 365 (on-premises)、Dynamics CRM 2016

クレームベースのセキュリティ モデルは、従来の認証モデルを拡張して、ユーザーについての情報を含む他のディレクトリ ソースも対象とするようになりました。 この ID フェデレーション (連携) により、Active Directory ドメイン サービス、インターネットからの顧客、ビジネス パートナーなど、さまざまなソースからのユーザーが Microsoft Dynamics 365 を使用できます。

重要

Microsoft Dynamics 365 インターネットに接続する展開 (IFD)アクセスにはクレームベース認証が必要です。 しかし、Microsoft Dynamics 365 ユーザーが存在するドメインと同じドメインに Microsoft Dynamics 365 が展開されているか、ユーザーが信頼できるドメインに存在している場合、イントラネットでの Microsoft Dynamics 365 アクセスにクレーム ベース認証は必要ありません。

クレームベース認証の構成ウィザードを実行する前に、Active Directory フェデレーション サービス (AD FS) などの セキュリティ トークン サービス (STS) を使用できる必要があります。Active Directory フェデレーション サービス (AD FS) の詳細については、「Identity and Access Management (ID とアクセスの管理)」を参照してください。

クレームベース認証の構成

  1. 展開マネージャーを起動します。

  2. 次の方法で、[バインディングの種類] を HTTPS に設定します。

    • 操作ウィンドウで、[プロパティ] をクリックします。

    • [Web アドレス] タブをクリックします。

    • [バインディングの種類] で、[HTTPS] を選択します。

    • [OK] をクリックします。

    重要

    クレームベース認証を使用するには、[バインディングの種類]  を HTTPS に設定する必要があります

    Web アドレスが TLS/SSL 証明書に対して有効で、TLS/SSL ポートが Microsoft Dynamics 365 Web サイトにバインドされていることを確認します。

    Outlook 用 Dynamics 365 クライアントが古いバインディング値を使用して設定されている場合は、そのクライアントを新しい値で設定する必要があります。

  3. 次の 2 つのうち、いずれかの方法で、クレームベース認証の構成ウィザード を開きます。

    • 操作ウィンドウで、[クレームベース認証の構成] をクリックします。

    • 展開マネージャー コンソール ツリーで、Microsoft Dynamics 365 を右クリックし、[クレームベース認証の構成] をクリックします。

  4. [次へ] をクリックします。

  5. [セキュリティ トークン サービスの指定] ページで、 https://adfs.contoso.com/federationmetadata2007-06/federationmetadata.xml のように [フェデレーション メタデータ URL] を入力します。

    このデータは一般に、Active Directory フェデレーション サービス (AD FS) を実行している Web サイトにあります。 正しい URL を確認するには、この URL を使用してインターネット ブラウザーを開き、フェデレーション メタデータを表示します。 証明書関連の警告が表示されないことを確認します。

  6. [次へ] をクリックします。

  7. 次の 2 つのうち、いずれかの方法によって、[暗号証明書の指定] ページで暗号証明書を指定します。

    • [証明書] ボックスに証明書の名前を入力します。 証明書の完全な共通名 (CN) は、CN=certificate_subject_name 形式を使用して入力します。

    • [証明書] で、[選択] をクリックし、証明書を選択します。

    この証明書は、Active Directory フェデレーション サービス (AD FS) Security Token Service (STS) に送信される認証セキュリティ トークンを暗号化するために使用されます。

    注意

    Microsoft Dynamics 365 サービス アカウントには、暗号証明書の秘密キーに対する読み取り権限が必要です。 以下のセクション CRMAppPool アカウントと Microsoft Dynamics CRM 暗号証明書 を参照してください。

  8. [次へ] をクリックします。

    指定したトークンと証明書が クレームベース認証の構成ウィザード によって検証されます。

  9. [システムのチェック] ページで、結果を確認し、問題があれば修正して、[次へ] をクリックします。

  10. [選択項目を確認し、[適用] をクリックしてください] ページで、選択項目を確認し、[適用] をクリックします。

  11. 証明書利用者をセキュリティ トークン サービスに追加するために使用しなければならない URL をメモします。 ログ ファイルを表示し、後で参照するために保存します。

  12. ページに表示される情報を記録したら、[完了] をクリックします。

  13. 証明書利用者をクレームベース認証用に構成します。

    重要

    クレームベース認証は、証明書利用者を STS で作成するまで機能しません。 詳細については、AD FS サーバーをクレーム ベース認証用に構成するを参照してください。

CRMAppPool アカウントと Microsoft Dynamics CRM 暗号証明書

Microsoft Dynamics 365 から Active Directory フェデレーション サービス (AD FS) に送信されるクレーム データは、クレームベース認証の構成ウィザードで指定した証明書を使用して暗号化されます。 各 Microsoft Dynamics 365 Web アプリケーションの CRMAppPool アカウントには、暗号証明書の秘密キーに関する読み取りアクセス許可が必要です。

  1. Microsoft Dynamics 365 Server で Microsoft 管理コンソール (MMC) を起動し、ローカル コンピューターの証明書ストアを対象にする証明書スナップインを追加します。

  2. コンソール ツリーで、[証明書 (ローカル コンピューター)] ノード、[個人] ストアの順に展開し、[証明書] をクリックします。

  3. 詳細ウィンドウで、クレームベース認証の構成ウィザードで指定した暗号証明書を右クリックし、[すべてのタスク] をポイントして、[秘密キーの管理] をクリックします。

  4. [追加] をクリックし (または、セットアップ時に使用したネットワーク サービス アカウントがある場合はそのアカウントを選択し)、[CRMAppPool] アカウントを追加し、読み取りアクセス許可を付与します。

    ヒント

    IIS マネージャーを使用すると、CRMAppPool アカウントのセットアップ時にどのアカウントを使用したかを確認できます。[接続] ウィンドウで、[アプリケーション プール] をクリックし、次に CRMAppPool の [ID] 値をオンにします。

  5. [OK] をクリックします。

関連項目

クレームベース認証の無効化
インターネットに接続する展開の構成

© 2017 Microsoft. All rights reserved. 著作権